社会工程学 | 利用.zip域名钓鱼攻击新型技术手法

admin 2023年6月1日09:13:03评论15 views字数 1320阅读4分24秒阅读模式


声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了


本文探讨了一种钓鱼技术:使用 .zip 域名,并在浏览器中模拟文件存档软件原文地址:https://mrd0x.com/file-archiver-in-the-browser/


0x00 简介

上周谷歌发布了几个新的顶级域名(TLD),其中包括.dad.phd.mov.zip。自发布以来,多个安全社区都开始讨论这些顶级域名所带来的影响,其主要原因是.mov.zip会被误认为是文件扩展名。


当然,这篇文章的目的,并不是要表达我对这个话题的看法,相反,我将展示如何利用这些顶级域名进行网络钓鱼。


由于存在.zip顶级域名,那么在浏览器中,使用它模拟一个文件存档软件(如 WinRAR),效果会怎样,来看下图:
社会工程学 | 利用.zip域名钓鱼攻击新型技术手法


0x01 模拟文件存档软件

想要进行这类型的攻击,那么就需要先使用 HTML/CSS 模拟一个文件存档软件。这两个样本我已经上传至我的 GitHub,任何人都可以使用它。

https://github.com/mrd0x/file-archiver-in-the-browser


第一个是模拟 WinRAR 文件存档工具,如下图所示:

社会工程学 | 利用.zip域名钓鱼攻击新型技术手法

第二个是模拟 Windows 11 的文件资源管理器窗口。感谢 @_ghast1y 制作了这个:

社会工程学 | 利用.zip域名钓鱼攻击新型技术手法

0x02 外观特征

在上述的代码中,在 WinRAR 样本的外观上有一些特征,可以增加钓鱼页面的合法性。例如,“扫描”图标创建了一个消息框,说明文件是安全的。
社会工程学 | 利用.zip域名钓鱼攻击新型技术手法


“提取到”按钮也可以用来放置一个文件。
社会工程学 | 利用.zip域名钓鱼攻击新型技术手法


0x03 使用案例

当上述内容部署完成后(包括 .zip 域名设置),你可以通过以下方式来钓鱼。下面我提供两种案例:


3.1 收获凭证

第一个案例是在点击文件时,会打开一个新的网页来获取凭证。

社会工程学 | 利用.zip域名钓鱼攻击新型技术手法


3.2 文件扩展名切换

第二个案例则是,在列出一个不可执行的文件,当用户点击下载时,它下载的是一个可执行的文件。

比如,当你有一个 "Invoice.pdf" 文件,当用户点击这个文件时,它会下载一个 .exe 或者其他格式的文件。
社会工程学 | 利用.zip域名钓鱼攻击新型技术手法


0x04 其他

在 Twitter 上,有好些人提出一个观点,由于 Windows 关键管理器的搜索栏,在搜索不存在的文件时,比如搜索mrd0x.zip,会自动使用浏览器打开它。

对于这种情况来说,是完美的,因为用户会看到一个 zip 文件,但实际上是我们钓鱼的东西。


比如,邮件中的文案是这样的:
社会工程学 | 利用.zip域名钓鱼攻击新型技术手法


一旦用户执行了这个操作,那么它将自动启动具有文件存档模版的 .zip 域名,看起来相当 nice。

0x05 结论

新推出的顶级域名为攻击者提供了更多网络钓鱼的机会。强烈建议企业阻止.zip.mov域名,因为它们已经被用于网络钓鱼,而且可能只会继续被越来越多地使用。


下面提供一种用于阻止(或隔离)来自 .zip TLD 的电子邮件的 Exchange 传输规则
社会工程学 | 利用.zip域名钓鱼攻击新型技术手法
图片来源:Rcoil

原文始发于微信公众号(betasec):社会工程学 | 利用.zip域名钓鱼攻击新型技术手法

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月1日09:13:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   社会工程学 | 利用.zip域名钓鱼攻击新型技术手法http://cn-sec.com/archives/1777680.html

发表评论

匿名网友 填写信息